LOFTER-网易轻博

本次在护网现场呆了5天，主要工作是蓝队防御，日志分析，溯源分析，后面还有更紧急的事情…

技术方面：

1、安全无绝对，手握0day指哪打哪😫

2、护网容易将日常的小事放大，其中有一件事可以说说：蜜罐发现有ip扫他的15555端口，经确认为：爱奇艺的局域网内共享功能，为减少带宽。

3、总揽全局，梳理个个攻击点，完成攻击链路的梳理有种破案的感觉，很有意思，不过找不到就很难受。

4、邮件钓鱼，样本分析真的很缺乏，慧平老哥就是强力的后盾，尤其是cs上线的代码，里面都很像，后面一定好好学学，再老哥的帮助下，对绿盟提供的几十封钓鱼邮件进行进一步排查，确认攻击队钓鱼并完成报告，得分达上线，不得不说绿盟的邮件也是很强。

给个老哥给我的链接方便学习：https://mp.weixin.qq.com/s/PCEQmbdtP-4KRtPX_qkTiw

5、流量上面的行为基本上可以理解，到终端上就麻爪，常用的命令忘了，计划任务不会查，注册表怎么进不知道终端怎么下手，这点还需要多下功夫上机操作，现场百度😭网速极卡，大写的尴尬。

6、文件落地检测的设备很强，青藤云的真的很强，好多关键点都是他落下来发现的，后面这个产品还需要重新审视。

7、多个攻击队进入内网会混乱视角，这次应该最明显的是一条完整的攻击链接，很难得。梳理攻击链路图很重要。回想起去年ga的真实事件，感觉这都是简单的了。

8、资产的梳理分析，天眼流量类产品不是产生一个告警而已，事件梳理尤为重要，但也有不足之处。

9、溯源分析的话，按照上一篇写的方法，有三个找到了微信扣扣信息，一个找到了阿里小号，一个找到了博客，剩下的都是没找到啥有用的，不是广东移动就是啥信息都没有的vps，咱也不敢扫，没授权万一进局子了呢。

迪马济奥说的。

—————————————

车子算是官宣了！

—————————————

一直传的曼联 最后去的车子233333

所以说你们一天到晚嚷嚷上树上树上什么树？

上树这种技能还是只留给厂迷练就够(￣ー￣)

祝莫拉塔在车事业顺景！